Windows Event ID 4624 Analizi: Başarılı Oturum Açma İzleri
Adli Analiz: Event ID 4624 Nedir?
Windows Event ID 4624, bir kullanıcının sisteme başarıyla giriş yaptığını (Success Logon) belirtir. Ancak sadece "girdi" bilgisi yeterli değildir. Bir saldırganın sistemde olup olmadığını anlamak için bu logun içindeki 'Logon Type' bilgisini okumanız gerekir.
Logon Type (Oturum Tipi) Sözlüğü
- Logon Type 2 (Interactive): Kullanıcı bilgisayarın başındadır, fiziksel olarak klavyeden giriş yapmıştır.
- Logon Type 3 (Network): Bir paylaşıma (Shared Folder) erişim veya ağ üzerinden bir servis bağlantısı.
- Logon Type 10 (RemoteInteractive): En sevilen hacker girişidir. Uzak Masaüstü (RDP) ile yapılan bağlantıyı simgeler.
- Logon Type 4 (Batch): Planlanmış görevler (Scheduled Tasks) tarafından kullanılır.
Tehlike Sinyali:
Normalde sadece ofis saatlerinde çalışan bir personelin gece yarısı "Logon Type 10" (RDP) kaydı oluşturması, hesabın ele geçirildiğinin %99 kanıtıdır. ACKLOG UEBA modülü bu mesai dışı sapmaları anında yakalar.
Problem Çözme: Neden Çok Fazla 4624 Logu Var?
Sunucularda saniyede yüzlerce 4624 görebilirsiniz. Çoğu sistem servislerinin (SYSTEM, NETWORK SERVICE) kendi iç haberleşmesidir. SIEM üzerinde 'Noise Reduction' yaparak sadece gerçek kullanıcı loginlerini filtrelemek performansınız için kritiktir.
ACKLOG Insight: ACKLOG, bu devasa log yığınını otomotik süzerek size sadece 'Gerçek Kişi' oturumlarını ve şüpheli kaynak IP'leri dashboardda gösterir. Manuel 4624 takibi imkansızdır, ACKLOG ile odaklanın.
Güvenliğinizi Şansa Bırakmayın
KVKK uyumlu loglama çözümlerimizle tanışın.